Το FBI και το Υπουργείο Οικονομικών εξέδωσαν την Πέμπτη μια κοινή συμβουλή για την ασφάλεια στον κυβερνοχώρο για να προειδοποιήσουν τους οργανισμούς στις Ηνωμένες Πολιτείες σχετικά με επιθέσεις που περιλαμβάνουν ransomware με το όνομα AvosLocker.
Η συμβουλή λέει ότι το AvosLocker έχει χρησιμοποιηθεί σε επιθέσεις σε διάφορους τομείς υποδομής ζωτικής σημασίας, συμπεριλαμβανομένων — αλλά δεν περιορίζονται σε — κρίσιμων βιομηχανιών, χρηματοοικονομικών υπηρεσιών και κρατικών εγκαταστάσεων.
Ο αντίκτυπος αυτών των επιθέσεων σε οργανισμούς υποδομών ζωτικής σημασίας είναι ασαφής. Ωστόσο, επιθέσεις ransomware, όπως αυτή που στόχευσε το Colonial Pipeline πέρυσι, οδήγησαν τις ΗΠΑ να λάβουν σημαντικά βήματα για τη βελτίωση της κυβερνοασφάλειας των πιο σημαντικών συστημάτων της χώρας.
Το AvosLocker προσφέρεται ως ransomware-as-a-service (RaaS) και οι χρήστες του ισχυρίζονται ότι έχουν στοχεύσει οργανισμούς σε όλο τον κόσμο, συμπεριλαμβανομένων των Ηνωμένων Πολιτειών, του Ηνωμένου Βασιλείου, της Γερμανίας, της Ισπανίας, του Βελγίου, του Καναδά, της Κίνας, της Ταϊβάν, της Τουρκίας, των Ηνωμένα Αραβικά Εμιράτα, Σαουδική Αραβία και Συρία.
Οι επιθέσεις AvosLocker περιλαμβάνουν ένα κομμάτι ransomware που κρυπτογραφεί αρχεία στα συστήματα του θύματος, καθώς και κλοπή ευαίσθητων πληροφοριών σε μια προσπάθεια να πειστεί το θύμα να πληρώσει.
Οι χειριστές ransomware διαχειρίζονται έναν ιστότοπο που βασίζεται σε Tor, όπου κατονομάζουν τα θύματα που αρνούνται να πληρώσουν και δημοσιεύουν κλεμμένα δεδομένα. Σε αυτόν τον ιστότοπο ενημερώνουν επίσης τους επισκέπτες ότι τα δεδομένα των θυμάτων που δεν πληρώνουν είναι προς πώληση.
Σε ορισμένες περιπτώσεις, οι επιτιθέμενοι καλούν το θύμα και το ενημερώνουν ότι τα λύτρα μπορούν να διαπραγματευτούν. Οι χάκερ μπορούν επίσης να εξαπολύσουν επιθέσεις DDoS εναντίον του θύματος κατά τη διάρκεια των διαπραγματεύσεων.
Το FBI και το Υπουργείο Οικονομικών έχουν διαθέσει δείκτες συμβιβασμού (IoC) για να βοηθήσουν τους οργανισμούς να εντοπίσουν επιθέσεις AvosLocker. Έχουν επίσης μοιραστεί πληροφορίες σχετικά με τα τρωτά σημεία που εκμεταλλεύονται οι κυβερνοεγκληματίες και τα εργαλεία που χρησιμοποιούν. Ορισμένα γενικά μέτρα μετριασμού και άλλοι σχετικοί πόροι διατίθενται επίσης στους οργανισμούς.
Ωστόσο, σημειώνει η συμβουλευτική, «Η AvosLocker ισχυρίζεται ότι χειρίζεται απευθείας τις διαπραγματεύσεις για τα λύτρα, καθώς και τη δημοσίευση και φιλοξενία δεδομένων διεισδυμένων θυμάτων αφού οι θυγατρικές τους μολύνουν στόχους. Ως αποτέλεσμα, οι δείκτες συμβιβασμού (IOC) του AvosLocker ποικίλλουν μεταξύ των δεικτών που αφορούν το κακόβουλο λογισμικό AvosLocker και των δεικτών που αφορούν τη μεμονωμένη θυγατρική που είναι υπεύθυνη για την εισβολή.”